La visión transversal del auditor interno, garante de la seguridad integral de la empresa

La digitalización de las empresas, favorecida por el desarrollo de las nuevas tecnologías, está transformando la gestión tradicional con mayores niveles de eficiencia, productividad y rentabilidad. Pero la digitalización también trae consigo nuevos riesgos, como las ciberamenazas, en forma de filtraciones de datos o de hackeos, que son cada vez más frecuentes y destructivas. Por eso la ciberseguridad se mantiene (lo es desde 2017) como el riesgo número uno en el último informe Risk in Focus 2025, de la Confederación Europea de Institutos de Auditores Internos (ECIIA), en el que ha tenido una destacada colaboración el Instituto de Auditores Internos de España (IAI).

El informe, elaborado a través de una encuesta realizada a 985 directores de auditoría interna de 20 países de Europa, señala como principales riesgos, después de la ciberseguridad y protección de datos, el capital humano, diversidad, gestión y retención de talento; cambios en las leyes y las regulaciones; disrupción digital, nuevas tecnologías e inteligencia artificial, e incertidumbre macroeconómica.

Sonsoles Rubio, presidenta del IAI, destaca que “el riesgo de ciberseguridad es cada vez más relevante, porque las empresas son cada vez más digitales”. Y reconoce que “antes, en las empresas, era un riesgo que parecía de frikis, que lo llevaban unos cuantos personajes, los de ciber. Y no, es un riesgo de negocio. Igual que gestionas tus clientes, gestionas tus procesos, tienes que gestionar la ciberseguridad de tus equipos. Se ha convertido en un riesgo que aparte de que tengas unos expertos, tú tienes que ser responsable”.

Y apunta que, con la nueva normativa que viene, “ahora se habla de seguridad integral, ya no se habla de ciberseguridad y de seguridad física. La seguridad se tiene que gestionar de forma conjunta”.

La disrupción digital, las nuevas tecnologías y la inteligencia artificial son los riesgos que más crecen, pasando del sexto puesto en 2024 al cuarto en 2025; y para 2028 se espera que alcancen la segunda posición. “La disrupción digital va más sobre cómo las empresas son capaces de adaptarse tecnológicamente y prepararse y digitalizar sus procesos, lo cual también tiene su relevancia desde el punto de vista de ser eficientes”, explica la presidenta del IAI, que llama la atención sobre la interconexión de los riesgos entre sí. Una vinculación que se aprecia con la inteligencia artificial, que se ha convertido en un factor de riesgo por sí mismo, por la incidencia que está teniendo como acelerador de otros riesgos ya habituales para las empresas, como la ciberseguridad, la gestión del talento, la continuidad del negocio, la reputación o la geopolítica.

Talento

El capital humano es el segundo riesgo en importancia “que es un riesgo que apareció hace pocos años y que está muy ligado a los demás: ¿tenemos los perfiles adecuados en las empresas para gestionar todos estos riesgos? En nuestros equipos hay distintas habilidades, pero si contraté a una persona hace dos años, no sabía que tenía que saber de inteligencia artificial. La misma gente tiene que estar cambiando cada día, y las empresas tienen que estar cambiando”, reflexiona Rubio.

En cuanto a la tercera amenaza, los cambios de legislación, la presidenta del IAI lo califica de “tsunami regulatorio”. “Aparte de que nos vuelven locos a las empresas, creemos que pone en peligro la competitividad porque no puede ser eficaz, no puedes ser competitivo cuando estás dedicando tantísimos recursos a intentar cumplir con normativas que luego no tienes la seguridad de que se apliquen: llevamos dos años trabajando con la normativa climática porque se aplicaba en 2024 y ahora no sabemos si se va a aplicar o no”, lamenta. La previsión de los auditores internos es que para 2028 este riesgo baje hasta la quinta posición, lo que Rubio ve con extrañeza, “porque es un riesgo que afecta a todos los demás”.

Cierra el top 5 del ranking de los principales riesgos la incertidumbre macroeconómica y geopolítica. En un entorno geopolítico cada vez más volátil, con las guerras de Ucrania y Gaza, la interrupción de rutas comerciales en Oriente Próximo y los innumerables procesos electorales que han traído mayorías inciertas, las organizaciones están integrando los riesgos emergentes en sus procesos de gobernanza estratégica.

Ante este panorama, Sonsoles Rubio destaca el papel clave del auditor interno. “En estos momentos en que los riesgos están tan interconectados, la figura del auditor interno es clave, porque, según está posicionado en las compañías –la recomendación de la CNMV es que sea alta dirección, y que reporte al presidente no ejecutivo y a la comisión de auditoría–, tiene una función independiente, transversal, que le permite coordinar y poner en contacto a distintas personas dentro de la empresa”.